GDPR规定，适用GDPR的所有数据处理活动均需遵守七项数据处理原则，分别是：（1）公平、透明和合法；（2）目的限制；（3）数据最小化；（4）准确；（5）存储限制；（6）完整与保密；（7）问责与合规。这七项数据处理原则写在GDPR的第二章，是GDPR隐私保护精神的核心体现，也是企业合规体系的重要组成部分。数据控制者和处理者必须严格遵循这些原则，否则将会构成严重违规行为，可处以2000万欧元或4%全球营业额的最高罚款。

01 公平、透明和合法

公平（Fairness）意味着企业的数据处理行为不应损害用户利益，任何含有歧视意味、有误导性或未告知用户的数据处理行为都是不允许的。以反歧视为例，企业如使用AI算法处理用户数据，则应配备适当的人工干预，避免算法的自动化操作可能造成的歧视。此外，企业还应定期评估其使用的算法是否会导致歧视、不平等的计算，并做出调整。

透明（Transparency）意味着数据控制者应清楚、公开地告知用户他们打算如何使用已经收集的任何个人数据。用户有权知晓其拥有哪些权利、如何行使这些权利，企业应使用简洁易懂的语言告知用户，必要时可使用视频等可视化渠道向用户解释其中的复杂概念。

合法（Lawfulness）要求企业的数据处理行为必须有合法依据，没有合法依据即为非法处理。GDPR第六条中列举了数据处理的六项合法事由：

（1）已取得用户同意；

（2）对履行合同是必要的；

（3）对履行法律义务是必要的；

（4）为保护用户或其他人的正当利益；

（5）为公共利益是必要的；

（6）符合企业的正当利益。

对合法依据的判定较为复杂，须结合每一项的实际情况具体分析。以企业的正当利益为例，GDPR规定，以反欺诈、IT安全为目的进行的数据处理构成企业的正当利益。此外还应确认，对个人权益的保护是否胜过企业追求的正当利益。

02 目的限制

GDPR规定，企业只能基于“具体、明确及合法的目的”收集个人数据，如果企业的处理目的发生了变化，应第一时间确认新目的是否超出了之前的目的范围。一旦新目的与之前的目的有冲突，企业在重新获取用户同意后，方可继续处理数据。

例如，线上商店A为完成订单，需要收集客户的姓名、地址、联系方式等个人信息。商店A准备购入一套CRM软件，这套软件不仅可以存储客户的个人信息，还可以通过已有数据分析客户的购买力，从而为每位客户提供针对性的广告服务。而这种以个性化广告推荐为目的进行的数据分析已超出最初的目的——完成订单。如果商店A希望使用这套软件的所有功能，它应对新的数据处理目的进行评估，明确其是否拥有有效的法律依据，根据评估结果决定是否购入这套软件，或仅使用这套软件的部分功能。

03 数据最小化

GDPR规定，数据控制者所收集或处理的个人数据应“够用、相关且为处理目的所需”。这也就意味着企业应仅收集与其提供的服务相关的个人信息。

来源：Access Now

如果企业希望进一步处理已有数据，应首先判断完成这一处理行为是否可以通过处理更少的数据来完成。如果是的话，企业应删除不必要的数据。此外，假名化、匿名化、集群化等技术可以避免识别到特定数据主体，也可作为实现数据最小化的实现方法。 举例来说，实体书店B打算开始经营网店，它需要设立一套表单收集客户订单信息，包括姓名、地址、联系方式等。但实际情况是，并非所有订单需要的个人信息类别都是一样的。如果客户买的是电子书，客户不必提供自己的详细地址。为遵循数据最小化原则，书店应准备两套表单，一套用于向买纸质书的客户，可收集客户的详细地址，另一套则用于买电子书的客户。

04 准确

GDPR第六条第四款规定，个人数据必须“准确且必要时随时更新；考虑到个人数据处理的目的，应采取一切合理措施，确保不正确的个人资料立即被删除或更正。”

不准确的个人数据有可能会对数据主体的权利产生威胁。例如，错误的数据有可能会导致医生做出错误的诊断，这对患者而言很有可能是致命的。

05 存储限制

数据在存储时也应遵循最小化原则：再需要的数据应及时删除，不需要识别个人身份的数据应在假名化、匿名化后再存储。但也有一些例外情况。例如，如果这些数据对公共利益或历史研究有用，数据控制者可继续留存这些数据，并阐述延长存储期限的原因。

与GDPR所规定的最短存储期限相比，我国对数据的存储期限则制定了强制性要求，个人数据在处理完毕后可能需要长期储存。《网络安全法》规定，网络运营者应“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。”《电子商务法》也规定，“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”跨国企业在数据的存储期限上应格外注意。

06 完整与保密

GDPR规定，数据控制者“以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施。”简言之，企业应采取一定的组织方式或技术手段，确保数据安全，避免发生数据泄露。

07 问责与合规

GDPR第五条第二款规定，“控制者应对遵守第一款中的规定负责，并能做出证明（可问责性）。”尤其在发生数据安全事件时，数据控制者需要提供证据证明，自己已严格遵循以上六条原则，且采用了合适且有效的保护方法，否则需要承担相应的责任。

08 合规建议

这七条原则是GDPR数据保护合规体系的核心，它们虽然没有规定具体的操作细则，但绝不可忽视它们的指导意义。从实际操作上看，七条原则要求数据控制者对自己的数据处理行为有着足够的风险认知，并采取适当且有效的措施将风险降到最低，这也意味着企业无法套用其他现有的保护措施，必须根据自己的业务情况制定针对性的保护机制，并定期评估是否需要更改。这种以风险为基础的数据保护框架可以最大限度地确保数据安全，保护数据主体权利。

为减少企业的合规负担，欧盟以及国际数据保护机构出台的标准和行为守则也被认为是GDPR合规的有效证明。ISO 27001正是一种与GDPR兼容度较高的认证框架，它所提出的应对风险的方法与GDPR对影响评估的要求是一致的。通过这些认证虽不能确保企业的数据处理行为完全符合GDPR，但标准化的框架能证明企业采取了适当的技术和组织手段以预防事故，从而减少企业的举证压力。

《通用数据保护条例》(GDPR)系列解读四：出海欧洲必须遵守的七大数据处理原则相关推荐

欧盟通用数据保护条例GDPR.docx数据摘要导读：GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译，新法案由11章共99条组成。 GDPR的通过意味着欧盟对个人信息保
欧盟通用数据保护条例GDPR.docx数据摘要导读:GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译, 新法案由11章共99条组成. GDPR的通过意味着欧盟对个人信息保护 ...
通用数据保护条例GDPR今日起正式生效，不会影响机器学习
内容来源:ATYUN AI平台通用数据保护条例(GDPR)于5月25日生效.虽然这个特定的法律适用于欧盟,但不仅在那里注册的企业需要关注这件事:每个有欧盟客户的实体都必须遵守它. GDPR没有先例, ...
出海欧洲《通用数据保护条例》解读，附GDPR白皮书下载
2018年被称为"世界数据治理元年".在这一年的5月25日,<通用数据保护条例>(GDPR)在经过两年的缓冲期后正式步入执法阶段.作为全球首部全面的个人数据保护法,它的 ...
gdpr通用数据保护条例_从信息安全角度看通用数据保护条例（GDPR）
gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) is a European law adopted by the European ...
gdpr通用数据保护条例_关于通用数据保护法规（GDPR），您需要了解的15件事
gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) comes into force on 25th May 2018. Design ...
欧洲通用数据保护条例（GDPR）合规的6个步骤
两年后会发生很多事情.2018年人们将目睹首例人类头颅移植手术.据调查机构IDC的预测,无论英国脱离还是不脱离欧盟,其组织数据的流量将增加五倍. 而两年另一个重大的进展是,由于2018年欧洲新规定的个 ...
通用数据保护条例的监管下，你的数据湖“断舍离”了吗？
通用数据保护条例(GDPR)是当今技术世界中的重要法规,也是众多在亚马逊云科技公有云当中建立解决方案的用户们所必须遵循的数据处理要求.GDPR中提出一项"删除权",或者叫" ...
欧盟通用数据保护条例_新的通用数据保护法规如何影响在线业务
欧盟通用数据保护条例 Running an online business is difficult enough but it is going to get a little more chall ...
《通用数据保护条例》(GDPR)系列解读一：如何判断出海企业是否受GDPR管辖？
2018年被称为"世界数据治理元年".在这一年的5月25日,<通用数据保护条例>(GDPR)在经过两年的缓冲期后正式步入执法阶段.作为全球首部全面的个人数据保护法,它的 ...

《通用数据保护条例》(GDPR)系列解读四：出海欧洲必须遵守的七大数据处理原则